Un nouveau programme de certification et d’étiquetage en matière de cybersécurité appelé U.S. Cyber Trust Mark est en cours d’élaboration pour aider les consommateurs américains à choisir des appareils connectés plus sûrs et plus résistants aux attaques de pirates.
Une proposition de la Federal Communications Commission, le programme devrait être déployé l’année prochaine avec l’engagement volontaire des fournisseurs d’appareils intelligents.
Les principaux fournisseurs et fabricants aux États-Unis ont déjà annoncé leur participation. Parmi eux, Amazon, Google, Best Buy, LG Electronics U.S.A., Logitech et Samsung Electronics.
Sécurité de niveau NIST pour l’IoT
Le programme américain Cyber Trust Mark vise à reconnaître les produits intelligents qui répondent aux critères de cybersécurité du National Institute of Standards and Technology (NIST), qui incluent l’utilisation de mots de passe par défaut uniques et forts, la protection des données, les mises à jour logicielles et les capacités de détection des incidents.
Les fabricants participants étiquetteraient leurs produits avec un « logo de bouclier distinct » signalant un ensemble de fonctions de sécurité approuvées par le NIST.
L’étiquetage est destiné aux appareils intelligents courants pour les consommateurs, allant des réfrigérateurs, fours à micro-ondes, téléviseurs, systèmes de climatisation, aux trackers de fitness, lit l’annonce de l’administration Biden-Harris.
« Agissant en vertu de ses pouvoirs pour réglementer les appareils de communication sans fil, la FCC devrait solliciter les commentaires du public sur le déploiement du programme d’étiquetage volontaire de cybersécurité proposé, qui devrait être opérationnel en 2024 » – Maison Blanche
Jusqu’au lancement du programme, l’administration Biden-Harris et la Cybersecurity and Infrastructure Security Agency (CISA) soutiendraient les efforts de la FCC pour éduquer les consommateurs à rechercher la marque Cyber Trust sur les produits qu’ils décident d’acheter.
Pour améliorer la transparence et stimuler la concurrence, les appareils certifiés seraient répertoriés dans un registre national que les consommateurs pourraient consulter via un code QR pour comparer les informations de sécurité présentes dans plusieurs produits.
« En collaboration avec d’autres régulateurs et le ministère américain de la Justice, la Commission prévoit d’établir des garanties de surveillance et d’application pour maintenir la confiance dans le programme. »
Une autre étape importante concerne la définition par le NIST d’ici la fin de l’année d’un ensemble d’exigences de sécurité pour les routeurs grand public, qui sont des cibles typiques pour les cybercriminels car ils sont la porte d’accès à d’autres appareils sur le réseau local qui pourraient servir à un attaquant.
Le programme vise également à inclure les compteurs intelligents et les onduleurs qui sont à la base du réseau propre et intelligent du futur. Cependant, des recherches sont nécessaires pour développer un étiquetage de cybersécurité approprié pour ces dispositifs.
Les efforts pour définir la sécurité de base dans les appareils IoT existent depuis plus de cinq ans, avec des propositions et un mécanisme de mise à jour standard du micrologiciel faisant partie des premières recommandations d’experts en cybersécurité et publiées par l’Internet Engineering Task Force (IETF).
Une initiative similaire a été lancée en 2017 par le département américain du Commerce, par l’intermédiaire de sa National Telecommunications and Information Administration (NTIA), qui visait à développer des conseils pour les fabricants d’IoT afin d’informer les clients des options de mise à jour d’un produit.
Cette même année, l’Agence de l’Union européenne pour la sécurité des réseaux et de l’information (ENISA) a publié le rapport Baseline security recommendations for IoT. Un résumé clair est disponible ici.
En 2020, la California IoT Act est entrée en vigueur, obligeant les fabricants d’appareils à inclure des « fonctions de sécurité raisonnables » dans leurs produits, mais sans fournir de norme claire.